Google OAuthのインタラクションをより安全にするための新しいフロー
近年、インターネット上での安全性がますます重要視されています。Googleは常に、ユーザーが第三者アプリケーションとGoogleアカウントデータを安全に共有する方法を提供するために努力しています。2022年2月16日に発表された内容によると、GoogleはOAuthインタラクションにおけるフィッシングやアプリ偽装攻撃からの保護を強化するための一連の対策を導入します。
OAuthとは?
OAuthは、ユーザーが別のアプリやサービスに自分のデータへのアクセスを許可するためのプロトコルです。これにより、ユーザーはパスワードを共有することなく、アカウント情報を保護しつつ便利にサービスを利用できます。
レガシーフローの終了とユーザーの安全性向上
Googleは、古いOAuthフローのサポートを終了し、より安全な代替手法への移行を求めています。特に、**Loopback IPアドレスフロー**と**OAuth Out-of-Band (OOB)フロー**の2つが終了します。
- Loopback IPアドレスフローの禁止
このフローは、中間者攻撃に対する脆弱性があります。特に悪意のあるアプリが同じループバックインターフェースを使用してOAuthのレスポンスを傍受する危険があります。これにより、認可コードにアクセスされる可能性があります。2022年3月14日以降、新しいアプリはこのフローを利用できなくなります。 - OAuth Out-of-Band (OOB) フローの非推奨
OOBフローは、リダイレクトURIを持たないネイティブクライアントを支援するために開発されたもので、フィッシングのリスクが存在します。このフローは2022年2月28日以降、新しいクライアントでは使用できなくなります。
移行が必要な理由
これらのレガシーフローを使用している開発者は、以下の理由から早急に移行を行う必要があります:
- ユーザーの安全性を確保:新しいフローは、より強固なセキュリティ機能を提供し、フィッシングやデータ漏洩のリスクを大幅に軽減します。
- 最新のサポートを受ける:Googleの最新のセキュリティ機能を利用することで、アプリの健全性が向上し、ユーザーからの信頼を得やすくなります。
- コンプライアンスの維持:指定された期限内に対応しない場合、アプリがブロックされる可能性があります。
移行の手順
もし自身のアプリがこれらのフローを使用しているか疑問に思う場合、以下のステップに従って確認し、移行を行いましょう。
- フローの確認:アプリのコードや、OAuthライブラリを使用している場合は、出力されるネットワークコールを点検し、「redirect_uri」パラメーターの値を確認します。具体的には次のようなものが対象です:
- Loopback IPアドレスの場合: `http://127.0.0.1:port` など
- OOBフローの場合:`urn:ietf:wg:oauth:2.0:oob` など
- 新しいフローへの移行:以下の代替手法を考慮してください:
- iOSクライアント:Google Sign-In for iOS SDK
- Androidクライアント:Google Sign-In for Android SDK
- Chromeクライアント:Chrome Identity API
- デスクトップクライアント:OAuth 2.0 for Desktop apps
コンプライアンス期限
移行作業は余裕をもって行うべきです。重要な期限を以下に示します:
- 2022年3月14日 – Loopback IPアドレスフローの新規利用がブロックされます。
- 2022年8月31日 – 既存クライアントに対してLoopback IPアドレスフローが無効化されます。
- 2022年2月28日 – OOBフローの新規利用がブロックされます。
- 2022年10月3日 – 既存クライアントに対してOOBフローが非推奨となります。
ユーザーへの通知
もしアプリがこれらのフローに対応していない場合、ユーザーには警告メッセージが表示される可能性があります。このメッセージには、アプリがまもなくブロックされる旨が記載され、サポート用のメールアドレスが表示されます。
結論
Googleは、OAuthのセキュリティを強化するための重要なステップを踏んでいます。特に現在利用しているレガシーフローを使用している開発者は、早急に対応し、ユーザーにとってより安全な環境を提供する必要があります。未来のインターネット環境において、安全性の確保はますます重要になるでしょうので、積極的にアップデートに取り組んでいきましょう。
